No se puede encontrar la ruta de certificación válida para el objetivo solicitado: error incluso después de importar el certificado

206

Tengo un cliente Java intentando acceder a un servidor con un certificado autofirmado.

Cuando intento publicar en el servidor, aparece el siguiente error:

no se puede encontrar la ruta de certificación válida para el objetivo solicitado

Después de investigar un poco sobre el tema, hice lo siguiente.

  1. Guarde el nombre de dominio de mis servidores como un root.cerarchivo.
  2. En el JRE de mi servidor Glassfish, ejecuté esto:
    keytool -import -alias example -keystore cacerts -file root.cer
  3. Para comprobar que el certificado se agregó a mi cacert con éxito, hice esto:
    keytool -list -v -keystore cacerts
    puedo ver que el certificado está presente.
  4. Luego reinicié Glassfish y retiré la 'publicación'.

Todavía recibo el mismo error.

Tengo la sensación de que esto se debe a que mi Glassfish en realidad no está leyendo el archivo cacert que he modificado, sino quizás otro.

¿Alguno de ustedes tuvo este problema y puede empujarme en la dirección correcta?

java  ssl  keytool 
TheCoder
fuente
1
Solo para aclarar "Tengo un cliente Java tratando de acceder a un servidor con un certificado autofirmado": estás hablando de usar certificados de cliente que son autofirmados, ¿no? ¿Existe alguna configuración específica para la configuración de su conector en Glassfish (configuración de la tienda de confianza, en particular)?
Bruno
"Tengo un cliente Java intentando acceder a un servidor con un certificado autofirmado": estás hablando de usar certificados de cliente que están autofirmados, ¿no? - si.
TheCoder
1
He encontrado 2 configuraciones en Glassfish JVM: -Djavax.net.ssl.keyStore = $ {com.sun.aas.instanceRoot} /config/keystore.jks y -Djavax.net.ssl.trustStore = $ {com.sun. aas.instanceRoot} /config/cacerts.jks. Ahora necesito agregar por certificado a uno de esos. ¿Puedes confirmar que es el almacén de claves al que lo agrego?
TheCoder
44
En el servidor, el almacén de claves es para el certificado del servidor y su clave privada (el almacén de claves es para lo que "pertenece" a la parte local). El almacén de confianza es para los certificados utilizados para verificar la confianza en la parte remota. Debe agregar el certificado de cliente a la tienda de confianza de su servidor. (Vea esto también, aunque Glassfish no parece estar usando la ubicación predeterminada del JRE.)
Bruno
Eso funcionó Bruno. Lo agregué a mi tienda de confianza Glassfish. Muchas gracias por su ayuda. Tú también Dirk.
TheCoder

Respuestas:

155

Desafortunadamente, podrían ser muchas cosas, y muchos servidores de aplicaciones y otros 'envoltorios' de Java son propensos a jugar con propiedades y su 'propia' versión de llaveros y demás. Por lo tanto, puede estar mirando algo totalmente diferente.

A falta de armadura, probaría:

java -Djavax.net.debug=all -Djavax.net.ssl.trustStore=trustStore ...

para ver si eso ayuda. En lugar de 'todos', también se puede establecer en 'ssl', administrador de claves y administrador de confianza, lo que puede ayudar en su caso. Si lo configura como 'ayuda', se enumerará algo como a continuación en la mayoría de las plataformas.

En cualquier caso, asegúrese de comprender completamente la diferencia entre el almacén de claves (en el que tiene la clave privada y el certificado con el que demuestra su propia identidad) y el almacén de confianza (que determina en quién confía), y el hecho de que su propia identidad también tiene una "cadena" de confianza para la raíz, que está separada de cualquier cadena a una raíz que necesita para descubrir "en quién" confía.

all            turn on all debugging
ssl            turn on ssl debugging

The   following can be used with ssl:
    record       enable per-record tracing
    handshake    print each handshake message
    keygen       print key generation data
    session      print session activity
    defaultctx   print default SSL initialization
    sslctx       print SSLContext tracing
    sessioncache print session cache tracing
    keymanager   print key manager tracing
    trustmanager print trust manager tracing
    pluggability print pluggability tracing

    handshake debugging can be widened with:
    data         hex dump of each handshake message
    verbose      verbose handshake message printing

    record debugging can be widened with:
    plaintext    hex dump of record plaintext
    packet       print raw SSL/TLS packets

Fuente: # Ver http://download.oracle.com/javase/1.5.0/docs/guide/security/jsse/JSSERefGuide.html#Debug

Dirk-Willem van Gulik
fuente
66
¡Muchas gracias! -Djavax.net.ssl.trustStore = / location_of / trustStore resolvió mi problema y la información de depuración también fue realmente útil.
RHE
55
java -Djavax.net.debug = all -Djavax.net.ssl.trustStore = trustStore ... da el siguiente error: Error: No se pudo encontrar o cargar la clase principal ...
rohith
1
Por supuesto, es posible que también deba especificar la contraseña del almacén de confianza con -Djavax.net.ssl.trustStorePassword = changeit
user1754036
18

Aquí está la solución, siga el siguiente enlace paso a paso:

http://www.mkyong.com/webservices/jax-ws/suncertpathbuilderexception-unable-to-find-valid-certification-path-to-requested-target/

ARCHIVO JAVA: que falta en el blog

/*
 * Copyright 2006 Sun Microsystems, Inc.  All Rights Reserved.
 *
 * Redistribution and use in source and binary forms, with or without
 * modification, are permitted provided that the following conditions
 * are met:
 *
 *   - Redistributions of source code must retain the above copyright
 *     notice, this list of conditions and the following disclaimer.
 *
 *   - Redistributions in binary form must reproduce the above copyright
 *     notice, this list of conditions and the following disclaimer in the
 *     documentation and/or other materials provided with the distribution.
 *
 *   - Neither the name of Sun Microsystems nor the names of its
 *     contributors may be used to endorse or promote products derived
 *     from this software without specific prior written permission.
 *
 * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS
 * IS" AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO,
 * THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
 * PURPOSE ARE DISCLAIMED.  IN NO EVENT SHALL THE COPYRIGHT OWNER OR
 * CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL,
 * EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO,
 * PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR
 * PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF
 * LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING
 * NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS
 * SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE.
 */



import java.io.*;
import java.net.URL;

import java.security.*;
import java.security.cert.*;

import javax.net.ssl.*;

public class InstallCert {

    public static void main(String[] args) throws Exception {
    String host;
    int port;
    char[] passphrase;
    if ((args.length == 1) || (args.length == 2)) {
        String[] c = args[0].split(":");
        host = c[0];
        port = (c.length == 1) ? 443 : Integer.parseInt(c[1]);
        String p = (args.length == 1) ? "changeit" : args[1];
        passphrase = p.toCharArray();
    } else {
        System.out.println("Usage: java InstallCert <host>[:port] [passphrase]");
        return;
    }

    File file = new File("jssecacerts");
    if (file.isFile() == false) {
        char SEP = File.separatorChar;
        File dir = new File(System.getProperty("java.home") + SEP
            + "lib" + SEP + "security");
        file = new File(dir, "jssecacerts");
        if (file.isFile() == false) {
        file = new File(dir, "cacerts");
        }
    }
    System.out.println("Loading KeyStore " + file + "...");
    InputStream in = new FileInputStream(file);
    KeyStore ks = KeyStore.getInstance(KeyStore.getDefaultType());
    ks.load(in, passphrase);
    in.close();

    SSLContext context = SSLContext.getInstance("TLS");
    TrustManagerFactory tmf =
        TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
    tmf.init(ks);
    X509TrustManager defaultTrustManager = (X509TrustManager)tmf.getTrustManagers()[0];
    SavingTrustManager tm = new SavingTrustManager(defaultTrustManager);
    context.init(null, new TrustManager[] {tm}, null);
    SSLSocketFactory factory = context.getSocketFactory();

    System.out.println("Opening connection to " + host + ":" + port + "...");
    SSLSocket socket = (SSLSocket)factory.createSocket(host, port);
    socket.setSoTimeout(10000);
    try {
        System.out.println("Starting SSL handshake...");
        socket.startHandshake();
        socket.close();
        System.out.println();
        System.out.println("No errors, certificate is already trusted");
    } catch (SSLException e) {
        System.out.println();
        e.printStackTrace(System.out);
    }

    X509Certificate[] chain = tm.chain;
    if (chain == null) {
        System.out.println("Could not obtain server certificate chain");
        return;
    }

    BufferedReader reader =
        new BufferedReader(new InputStreamReader(System.in));

    System.out.println();
    System.out.println("Server sent " + chain.length + " certificate(s):");
    System.out.println();
    MessageDigest sha1 = MessageDigest.getInstance("SHA1");
    MessageDigest md5 = MessageDigest.getInstance("MD5");
    for (int i = 0; i < chain.length; i++) {
        X509Certificate cert = chain[i];
        System.out.println
            (" " + (i + 1) + " Subject " + cert.getSubjectDN());
        System.out.println("   Issuer  " + cert.getIssuerDN());
        sha1.update(cert.getEncoded());
        System.out.println("   sha1    " + toHexString(sha1.digest()));
        md5.update(cert.getEncoded());
        System.out.println("   md5     " + toHexString(md5.digest()));
        System.out.println();
    }

    System.out.println("Enter certificate to add to trusted keystore or 'q' to quit: [1]");
    String line = reader.readLine().trim();
    int k;
    try {
        k = (line.length() == 0) ? 0 : Integer.parseInt(line) - 1;
    } catch (NumberFormatException e) {
        System.out.println("KeyStore not changed");
        return;
    }

    X509Certificate cert = chain[k];
    String alias = host + "-" + (k + 1);
    ks.setCertificateEntry(alias, cert);

    OutputStream out = new FileOutputStream("jssecacerts");
    ks.store(out, passphrase);
    out.close();

    System.out.println();
    System.out.println(cert);
    System.out.println();
    System.out.println
        ("Added certificate to keystore 'jssecacerts' using alias '"
        + alias + "'");
    }

    private static final char[] HEXDIGITS = "0123456789abcdef".toCharArray();

    private static String toHexString(byte[] bytes) {
        StringBuilder sb = new StringBuilder(bytes.length * 3);
        for (int b : bytes) {
            b &= 0xff;
            sb.append(HEXDIGITS[b >> 4]);
            sb.append(HEXDIGITS[b & 15]);
            sb.append(' ');
        }
        return sb.toString();
    }

    private static class SavingTrustManager implements X509TrustManager {

    private final X509TrustManager tm;
    private X509Certificate[] chain;

    SavingTrustManager(X509TrustManager tm) {
        this.tm = tm;
    }

    public X509Certificate[] getAcceptedIssuers() {
        throw new UnsupportedOperationException();
    }

    public void checkClientTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        throw new UnsupportedOperationException();
    }

    public void checkServerTrusted(X509Certificate[] chain, String authType)
        throws CertificateException {
        this.chain = chain;
        tm.checkServerTrusted(chain, authType);
    }
    }

}
usuario6258309
fuente
3
Esta solución me funcionó, pero necesita un pequeño cambio en la clase privada SavingTrustManager:public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0];}
Richard
1
@ Richard, @ Paul, @ user6258309 Recibí el error Excepción en el subproceso "main" java.net.SocketTimeoutException: Tiempo de lectura agotado en java.net.SocketInputStream.socketRead0 (Método nativo) en java.net.SocketInputStream.socketRead (Fuente desconocida ) ¿Cómo puedo solucionar esto?
Renjith Krishnan
55
Este 'so; lution' es radicalmente inseguro. No utilice.
Marqués de Lorne
9
Esta respuesta es principalmente código. No explica por qué o por qué no funciona.
13

Debe configurar las propiedades del sistema JSSE, específicamente apuntar al almacén de certificados del cliente.

Vía linea de comando:

java -Djavax.net.ssl.trustStore=truststores/client.ts com.progress.Client

o a través del código Java:

import java.util.Properties;
    ...
    Properties systemProps = System.getProperties();
    systemProps.put("javax.net.ssl.keyStorePassword","passwordForKeystore");
    systemProps.put("javax.net.ssl.keyStore","pathToKeystore.ks");
    systemProps.put("javax.net.ssl.trustStore", "pathToTruststore.ts");
    systemProps.put("javax.net.ssl.trustStorePassword","passwordForTrustStore");
    System.setProperties(systemProps);
    ...

Para obtener más información, consulte los detalles en el sitio de RedHat .

Vic
fuente
Tuve el mismo problema con Spring Boot, los microservicios Spring Cloud y un certificado SSL autofirmado. Pude configurar keyStore y keyStorePassword en application.properties y hacer que funcionara de la caja, pero no tuve éxito para hacer lo mismo con trustStore y trustStorePassword. Esta respuesta funcionó para mí para la tienda de confianza.
Mate Šimović
7

(vuelva a publicar desde mi otra respuesta )
Use la herramienta de herramientas cli de la distribución de software java para importar (¡y confíe! ) los certificados necesarios

Muestra:

  1. Desde cli, cambie el directorio a jre \ bin

  2. Compruebe el almacén de claves (archivo encontrado en el directorio jre \ bin)
    keytool -list -keystore .. \ lib \ security \ cacerts La
    contraseña es changeit

  3. Descargue y guarde todos los certificados en cadena del servidor necesario.

  4. Agregue certificados (antes de eliminar el atributo "solo lectura" en el archivo ".. \ lib \ security \ cacerts"), ejecute: keytool -alias REPLACE_TO_ANY_UNIQ_NAME -import -keystore .. \ lib \ security \ cacerts -file "r: \ root.crt "

accidentalmente encontré un consejo tan simple. Otras soluciones requieren el uso de InstallCert.Java y JDK

fuente: http://www.java-samples.com/showtutorial.php?tutorialid=210

Алексей Присяжный
fuente
6

Tuve el mismo problema con sbt .
Intentó obtener dependencias de repo1.maven.org a través de ssl,
pero dijo que "no se pudo encontrar la ruta de certificación válida para la URL de destino solicitada".
así que seguí esta publicación y aún no pude verificar una conexión.
Entonces leí al respecto y descubrí que el
certificado raíz no es suficiente, como lo sugirió la publicación, así que lo que funcionó para mí fue importar los certificados de CA intermedios en el almacén de claves .
De hecho, agregué todos los certificados de la cadena y funcionó de maravilla.

Danny Mor
fuente
4

Solución al migrar de JDK 8 a JDK 10

JDK 10

root@c339504909345:/opt/jdk-minimal/jre/lib/security #  keytool -cacerts -list
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 80 entries

JDK 8

root@c39596768075:/usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts #  keytool -cacerts -list
Enter keystore password:
Keystore type: JKS
Keystore provider: SUN

Your keystore contains 151 entries

Pasos para arreglar

  • Eliminé el certificado JDK 10 y lo reemplacé con el JDK 8
  • Como estoy construyendo Docker Images, podría hacerlo rápidamente usando compilaciones de etapas múltiples
    • Estoy construyendo un JRE mínimo usando jlinkcomo/opt/jdk/bin/jlink \ --module-path /opt/jdk/jmods...

Entonces, aquí están las diferentes rutas y la secuencia de los comandos ...

# Java 8
COPY --from=marcellodesales-springboot-builder-jdk8 /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts /etc/ssl/certs/java/cacerts

# Java 10
RUN rm -f /opt/jdk-minimal/jre/lib/security/cacerts
RUN ln -s /etc/ssl/certs/java/cacerts /opt/jdk-minimal/jre/lib/security/cacerts
Marcello de Sales
fuente
2

Estoy trabajando en un tutorial para los servicios web REST en www.udemy.com (REST Java Web Services). El ejemplo en el tutorial decía que para tener SSL, debemos tener una carpeta llamada "trust_store" en mi proyecto "cliente" de eclipse que debería contener un archivo "almacén de claves" (teníamos un proyecto "cliente" para llamar al servicio y proyecto de "servicio" que contenía el servicio web REST: 2 proyectos en el mismo espacio de trabajo de eclipse, uno para el cliente y otro para el servicio). Para simplificar las cosas, dijeron que copie "keystore.jks" del servidor de aplicaciones glassfish (glassfish \ domains \ domain1 \ config \ keystore.jks) que estamos usando y lo coloque en esta carpeta "trust_store" que me hicieron hacer El proyecto del cliente. Eso parece tener sentido: los certificados autofirmados en el servidor ' s key_store correspondería a los certificados en el cliente trust_store. Ahora, al hacer esto, recibí el error que menciona la publicación original. Lo busqué en Google y leí que el error se debe al archivo "keystore.jks" en el cliente que no contiene un certificado de confianza / firmado, que el certificado que encuentra es autofirmado.

Para mantener las cosas claras, permítanme decir que, según tengo entendido, el "keystore.jks" contiene certificados autofirmados y el archivo "cacerts.jks" contiene certificados de CA (firmados por la CA). El "keystore.jks" es el "almacén de claves" y el "cacerts.jks" es el "almacén de confianza". Como "Bruno", un comentarista, dice arriba, "keystore.jks" es local y "cacerts.jks" es para clientes remotos.

Entonces, me dije a mí mismo, hey, glassfish también tiene el archivo "cacerts.jks", que es el archivo trust_store de glassfish. Se supone que cacerts.jsk contiene certificados de CA. Y aparentemente necesito que mi carpeta trust_store contenga un archivo de almacén de claves que tenga al menos un certificado de CA. Entonces, intenté poner el archivo "cacerts.jks" en la carpeta "trust_store" que había creado, en mi proyecto de cliente, y cambiar las propiedades de VM para que apunte a "cacerts.jks" en lugar de "keystore.jks". Eso eliminó el error. Supongo que todo lo que necesitaba era un certificado CA para funcionar.

Esto puede no ser ideal para la producción, o incluso para el desarrollo más allá de hacer que algo funcione. Por ejemplo, probablemente podría usar el comando "keytool" para agregar certificados de CA al archivo "keystore.jks" en el cliente. Pero de todos modos, con suerte, esto al menos reduce los posibles escenarios que podrían estar ocurriendo aquí para causar el error.

TAMBIÉN: mi enfoque parecía ser útil para el cliente (certificado del servidor agregado al cliente trust_store), parece que los comentarios anteriores para resolver la publicación original son útiles para el servidor (certificado del cliente agregado al servidor trust_store). Salud.

Configuración del proyecto Eclipse:

  • MyClientProject
  • src
  • prueba
  • Biblioteca del sistema JRE
  • ...
  • trust_store
    --- cacerts.jks --- keystore.jks

Fragmento del archivo MyClientProject.java:

static {
  // Setup the trustStore location and password
  System.setProperty("javax.net.ssl.trustStore","trust_store/cacerts.jks");
  // comment out below line
  System.setProperty("javax.net.ssl.trustStore","trust_store/keystore.jks");
  System.setProperty("javax.net.ssl.trustStorePassword", "changeit");
  //System.setProperty("javax.net.debug", "all");

  // for localhost testing only
  javax.net.ssl.HttpsURLConnection.setDefaultHostnameVerifier(new javax.net.ssl.HostnameVerifier() {
        public boolean verify(String hostname, javax.net.ssl.SSLSession sslSession) {
          return hostname.equals("localhost");
        }

  });
}
Steve T
fuente
1

Mi problema fue que se instaló un agente de seguridad de acceso a la nube, NetSkope, en mi computadora portátil de trabajo a través de una actualización de software. Esto estaba alterando la cadena de certificados y todavía no podía conectarme al servidor a través de mi cliente java después de importar toda la cadena a mi almacén de claves cacerts. Inhabilité NetSkope y pude conectarme con éxito.

gary69
fuente
1

En mi caso, estaba enfrentando el problema porque en mi proceso tomcat se proporcionó un almacén de claves específico usando 

-Djavax.net.ssl.trustStore=/pathtosomeselfsignedstore/truststore.jks

Mientras importaba el certificado al certificado de JRE / lib / security y los cambios no se reflejaban. Luego hice el siguiente comando donde /tmp/cert1.test contiene el certificado del servidor de destino

keytool -import -trustcacerts -keystore /pathtosomeselfsignedstore/truststore.jks -storepass password123 -noprompt -alias rapidssl-myserver -file /tmp/cert1.test

Podemos verificar si la importación del certificado es exitosa

keytool -list -v -keystore /pathtosomeselfsignedstore/truststore.jks

y vea si su servidor taget se encuentra contra alias rapidssl-myserver

Sanjay Bharwani
fuente
0

¡Comprueba si el archivo $JAVA_HOME/lib/security/cacertsexiste! En mi caso, no era un archivo sino un enlace /etc/ssl/certs/java/cacertsy también era un enlace a sí mismo (¿QUÉ ???), por lo que JVM no puede encontrar el archivo.

Solución: copie el archivo cacerts real ( puede hacerlo desde otro JDK ) al /etc/ssl/certs/java/directorio y resolverá su problema :)

0x7E1
fuente
de hecho, JDK mantiene un enlace y, tal vez, por compatibilidad con API, SDK anteriores ... Logré hacer lo mismo con éxito ... Me estoy mudando de JDK 8 a JDK 10 y estoy usando Docker, así que solo necesitaba copiar los cacerts de un imagen a otra ... Creé el enlace y exactamente de la misma manera ...rm -f /opt/jdk-minimal/jre/lib/security/cacerts ; ln -s /etc/ssl/certs/java/cacerts /opt/jdk-minimal/jre/lib/security/cacerts
Marcello de Sales el
-9

Digamos si está utilizando variables classpath como $ {JAVA_HOME} en pom.xml.

<target>
                    <property name="compile_classpath" refid="maven.compile.classpath"/>
                    <property name="runtime_classpath" refid="maven.runtime.classpath"/>
                    <property name="test_classpath" refid="maven.test.classpath"/>
                    <property name="plugin_classpath" refid="maven.plugin.classpath"/>
                    <property name="jaxb-api.jar" value="${maven.dependency.javax.xml.bind.jaxb-api.jar.path}"/>
                    <property name="project_home" value="${PROJECT_HOME}"/>
                    <property name="java_home" value="${JAVA_HOME}"/>
                    <property name="ant_home" value="${ANT_HOME}"/>
                    <property name="common_home" value="${COMMON_HOME}"/>
                    <property name="JAXP_HOME" value="${common_home}/lib"/>
                    <property name="ejfw_home" value="${PROJECT_HOME}/lib"/>
                    <property name="weblogic_home" value="${WL_HOME}"/>
                    <property name="fw_home" value="${FW_HOME}"/>
                    <property name="env" value="${BUILDENV}"/>
                    <property name="tokenfile" value="${BUILDENV}${BUILDENV_S2S}.properties"/>

En los objetivos, agregue las variables classpath. es decir, -DANT_HOME, -DJAVA_HOME

clean install -e -DPROJECT_HOME=..... -DANT_HOME=C:\bea1036\modules\org.apache.ant_1.7.1 -DJAVA_HOME=C:\bea1036\jdk160_31
jayakar jayaraman
fuente
1
Las rutas de clase y los certificados no tienen nada que ver entre ellos.
Marqués de Lorne
1
Creo que has entendido mal la pregunta.
Dawood ibn Kareem
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.